Token de ServiceAccount (Kubernetes)
Qu'est-ce que Token de ServiceAccount (Kubernetes) ?
Token de ServiceAccount (Kubernetes)Credential JWT monte dans un pod Kubernetes qui authentifie le workload aupres de l'API server et de tout service faisant confiance au fournisseur d'identite du cluster.
Un ServiceAccount Kubernetes represente une identite non humaine utilisee par les pods. Le token associe est un JSON Web Token signe, projete automatiquement dans le pod sur /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest dans les versions modernes), utilise pour appeler l'API server. Le token contient des claims comme audience, expiration, namespace et pod. Comme il donne acces via RBAC, sa fuite est dangereuse : avec un token vole, un attaquant peut lister, modifier ou detruire des ressources du cluster dans le perimetre du role binding. Les bonnes pratiques sont : tokens lies, courts et avec audience ; desactiver le montage automatique quand inutile ; restreindre les role bindings au moindre privilege ; et federer l'identite du workload vers l'IAM cloud (OIDC, Workload Identity, IRSA).
● Exemples
- 01
Un pod utilise son token projete avec audience "sts.amazonaws.com" via IRSA pour assumer un role AWS IAM.
- 02
Un attaquant qui s'echappe d'un conteneur lit le token SA et pivote vers l'API Kubernetes.
● Questions fréquentes
Qu'est-ce que Token de ServiceAccount (Kubernetes) ?
Credential JWT monte dans un pod Kubernetes qui authentifie le workload aupres de l'API server et de tout service faisant confiance au fournisseur d'identite du cluster. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Token de ServiceAccount (Kubernetes) ?
Credential JWT monte dans un pod Kubernetes qui authentifie le workload aupres de l'API server et de tout service faisant confiance au fournisseur d'identite du cluster.
Comment fonctionne Token de ServiceAccount (Kubernetes) ?
Un ServiceAccount Kubernetes represente une identite non humaine utilisee par les pods. Le token associe est un JSON Web Token signe, projete automatiquement dans le pod sur /var/run/secrets/kubernetes.io/serviceaccount/token (API TokenRequest dans les versions modernes), utilise pour appeler l'API server. Le token contient des claims comme audience, expiration, namespace et pod. Comme il donne acces via RBAC, sa fuite est dangereuse : avec un token vole, un attaquant peut lister, modifier ou detruire des ressources du cluster dans le perimetre du role binding. Les bonnes pratiques sont : tokens lies, courts et avec audience ; desactiver le montage automatique quand inutile ; restreindre les role bindings au moindre privilege ; et federer l'identite du workload vers l'IAM cloud (OIDC, Workload Identity, IRSA).
Comment se défendre contre Token de ServiceAccount (Kubernetes) ?
Les défenses contre Token de ServiceAccount (Kubernetes) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Token de ServiceAccount (Kubernetes) ?
Noms alternatifs courants : Token ServiceAccount, Token SA projete.
● Termes liés
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 596
kube-bench
Outil open source d'Aqua Security qui verifie automatiquement la configuration d'un cluster Kubernetes par rapport au CIS Kubernetes Benchmark.
- cloud-security№ 601
Kubescape
Plateforme open source de securite Kubernetes editee par ARMO, qui analyse clusters, manifests et images pour detecter mauvaises configurations, vulnerabilites et derives de politique.
- cloud-security№ 1248
Identité de Workload
Identité cryptographique attribuée à un service, un conteneur ou une fonction pour s'authentifier auprès d'autres systèmes sans secrets partagés longue durée.